Depuis 2005, la Zero Day Initiative (ZDI), propriété de HP, fait en sorte d’encourager – en les rémunérant – les experts en sécurité à communiquer les failles qu’ils découvrent aux éditeurs et fournisseurs de service concernés. Un bon moyen d’éviter que les exploits non patchés se retrouvent sur des marchés noirs, soient vendus au plus offrant et soient finalement utilisés sans que personne n’en ait conscience.
Une des politiques au cœur de la ZDI est que l’éditeur du logiciel concerné à 120 jours pour corriger la faille une fois averti. Après ce délai, la vulnérabilité est rendue publique.
Microsoft réagit trop lentement…
Le 20 juillet dernier, ce sont quatre failles zero day dans Internet Explorer qui ont ainsi été révélées par la Zero Day Initiative. Toutes permettent l’exécution de code à distance, avec les mêmes privilèges que l’utilisateur local, une fois l’ordinateur compromis par la visite d’un site Web malicieux.
Il faut en effet dans les quatre cas que l’utilisateur visite un site et active un contenu spécifique en cliquant sur un lien compromis. Sans cette action, vous n’êtes pas en danger, même si certains scripts pourraient être utilisés pour activer un lien par exemple.
Il est donc recommandé de ne plus utiliser Internet Explorer tant qu’un correctif n’est pas publié.
Internet Explorer, navigateur par défaut de Windows, est toujours présent dans Windows 10 qui sortira la semaine prochaine. Il est toutefois remisé à un rôle de second plan dans le nouveau système d’exploitation de Microsoft qui met en avant son nouveau navigateur, baptisé Edge.
A lire aussi :
Microsoft vient de corriger en urgence une faille critique qui touche tous les Windows -21/07/2015
Source :
Zero Day initiative
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.